クレジットカードをハックするのに必要な時間はたったの6秒
タレコミ by taraiok
taraiok 曰く、
Newcastle大学の研究者によれば、犯罪者はたったの6秒でVISAカードの番号とセキュリティコードを推測することができるという。攻撃は決済システムの持つ二つの弱点が悪用される。一つは複数の支払い要求エラーが発生しても検出が行われないこと。これを悪用して攻撃者はオンライン通販サイトの名義で10~20回ほど支払い要求を行う。名義を換えて繰り返すことにより、データフィールド上の正しい数字を無制限に推測できるという(Newcastle University、Independent、slashdot)。
第二の弱点は決済時に参照するカード・データフィールドの情報がオンライン通販サイトごとに異なる点。複数のWebサイト名義で攻撃してデータを得て、それをジグソーパズルのようにつなぎ合わせれば、攻撃者は驚くほど簡単に必要な情報を得られるという。研究者はこの手法が最近発生した英Tesco銀行ハッキング事件に使用されたとみている。そして、クリスマスプレゼントをオンライン購入する年末に再発するリスクがもっとも大きいとみているという。